今天登录vcsa 无法登录了，显示no healthy upstream

网上查了下，说什么vcsa的服务没起来，还有dns错误，然后看了下服务确实没起来，dns的话我有2台域控，正常不应该有问题，所以忽略，后来研究发现是证书过期了。

以前vcenter老版本证书时间很久，后来我记得应该是6.5的时候证书只有2年了，所以要记得更新证书，没过期的时候可以在vcsa图形界面里点，如果过期了只能通过命令行来更新证书。

参考文档：

VCSA 6.5.x，6.7.x 或 vCenter Server 7.0.x 中的”签名证书无效”错误 （76719）

https://kb.vmware.com/s/article/76719

如何使用自签名 VMCA 来重新生成 vSphere 6.x 证书 (2112283)

https://kb.vmware.com/s/article/2112283?lang=zh_cn

执行kb76719

首先下载kb76719 中的脚本fixsts.sh上传到/tmp目录

cd /tmp

chmod +x fixsts.sh

./fixsts.sh

会出现如下的成功字样

重启服务，然后看看能不能登录

service-control –stop –all

service-control –start –all

如果还不行继续运行后面的kb2112283的继续更新其他证书

执行kb2112283

我们查询下其他证书过期情况

for i in $(/usr/lib/vmware-vmafd/bin/vecs-cli store list); do echo STORE $i; /usr/lib/vmware-vmafd/bin/vecs-cli entry list –store $i –text | egrep “Alias|Not After”; done

然后会发现还有其他证书也过期了也要继续更新

直接执行下面命令

/usr/lib/vmware-vmca/bin/certificate-manager

选择选项 8 进行操作，重置所有证书

根据提示，在「Hostname」输入VCSA的FQDN，在VMCA Name输入与Hostname相同的值（如果是以ip部署的vc，请输入ip地址）。

注：一开始其他都是默认，比如us，ca之类的，ip也是先默认，然后到了Hostname和VMCA如果你是用了FQDN，那就用你的域名，否则就是输入IP，这2个一定要一致。

执行完成后，会出现下图自动替换证书，并且启动VC，完成之后就可以登录VC了。